在資訊主頁中新增圖表

如要在資訊主頁中新增圖表或其他圖表，請使用圖表圖塊。 視覺化圖塊會顯示相關聯 LookML 檢視表的資料，也就是您在建立圖塊時選取的「探索」。本文說明下列事項：

• 如何使用圖表方塊建立圖表和其他圖表。
• 如何建立符合特定用途的資料視覺化圖表。

程序總覽

如要在資訊主頁中建立視覺化效果，大致上需要執行下列動作：

1. 在資訊主頁中新增圖表圖塊。
2. 選取要使用的探索。「探索」是新動態磚的起點，代表特定資料模型。
3. 選取要用於視覺化的資料欄位。預先定義的欄位會歸入下列其中一種型別：
   • 維度：描述資料的資料屬性。示例：博物館的面積和建築材料是博物館資料集中的不同維度。
   • 測量：一或多個維度或資料的獨特屬性 (例如計數或平均值) 的數值表示。
   • 篩選器限定欄位：只能用於篩選器的預先定義欄位。
4. (選用) 建立並新增自訂欄位至支援特定用途的動態磚。
5. 選取下列項目來設定動態磚：
   • 圖表：以視覺化方式顯示所選欄位。 舉例來說，折線圖可顯示一段時間內的趨勢。
   • 篩選器：限制視覺化圖表，只顯示您想查看的資料。您可以使用「探索」中的任何欄位建立篩選器。
6. 執行視覺化作業，即可預覽結果。
7. 儲存圖表圖塊。

本文件的後續章節將詳細說明如何設定視覺化圖塊中的每個元件。

範例：建立資料表

下列步驟將詳細說明如何使用資料格建立資料表，並顯示「編輯圖塊」對話方塊中的設定選項。

1. 在「個人資訊主頁」或「共用資訊主頁」中選取資訊主頁，然後依序點選 more_vert「資訊主頁動作」>「編輯資訊主頁」。
2. 依序點選「新增」>「視覺化」。
3. 選取「探索」資料模型。系統會隨即顯示「編輯動態磚」對話方塊。
4. 輸入不重複的動態磚名稱。
5. 從「所有欄位」中選取「維度」和「指標」這兩個預先定義的欄位。 您通常需要選擇至少兩個欄位才能建立視覺化效果。 您選取的欄位會顯示在「資料」部分。
6. (選用) 建立並新增視覺化效果所需的任何自訂欄位。 這些資料會顯示在「資料」部分。
7. 在「視覺呈現」部分，選取「資料表」做為視覺化呈現類型。 視覺化會顯示表格中選取的資料欄位。
8. 在「篩選器」部分中，定義篩選器，限制視覺化效果只顯示您感興趣的資料。您可以使用「探索」中的任何欄位建立篩選器。
9. 在「資料」部分執行下列操作：
   • 按一下「Explore field header」(探索欄位標題)，即可依遞增或遞減順序排序欄位。
   • 設定「列數上限」，限制視覺化圖表中顯示的列數。
10. 按一下「執行」，即可使用 Google Security Operations SIEM 資料預覽視覺化效果。
11. 按一下 [儲存]。「資訊主頁」會顯示新加入的動態磚。

下圖標示「編輯動態磚」對話方塊中執行這些步驟的位置。

編輯含有設定的動態磚對話方塊

選擇探索資料模型

Google Security Operations SIEM 提供多種資料模型，可用於建構資訊主頁。每個資料模型都是 Looker 探索，用於定義 UDM 欄位的子集。

建立新的資料視覺化圖塊時，探索是起點。這項工具旨在探索特定資料模型。每個資料模型探索項目對應一個視覺化圖塊。

Google Security Operations SIEM 提供下列資料模型探索：

• 實體圖形
• IOC 比對結果
• 擷取指標 (含擷取統計資料)
• 擷取指標
• 擷取統計資料
• 規則偵測項目
• 偵測到違規情況的規則集
• UDM 事件
• UDM 事件匯總

您也可以視需要建立自訂欄位，但只能在建立欄位的動態磚中使用。

選取圖表視覺化效果的欄位

選取圖塊的「探索」後，預先定義的 UDM 欄位會顯示在「探索」對話方塊的「所有欄位」分頁中。

從「所有欄位」分頁選取欄位後，這些欄位會同時顯示在「使用中」分頁和「資料」部分。以下小節說明可選擇建立圖表視覺化效果的欄位類型。

預先定義的欄位

每個探索都包含一組不同的預先定義 UDM 欄位。圖塊中可用的預先定義欄位，取決於您從「選擇探索」對話方塊中選取的資料模型。

預先定義的欄位會歸入下列類型：

• 維度
• 度量
• 篩選器限定欄位

每個欄位旁邊的圖示會顯示更多資訊，並指出可用的選項，例如「依欄位篩選」、「透視資料」、「匯總」、「分組」或「分組」。按一下「資訊」圖示，即可查看該欄位的說明文字。將指標懸停在欄位上時，就會看到這些圖示。詳情請參閱「欄位專屬資訊和動作」。

您可以使用預先定義的欄位建立自訂維度、自訂指標、表格計算，以及對圖塊套用篩選器。

探索可能包含不再支援的已淘汰欄位。 如果欄位名稱後方有 [D]，即表示該欄位已淘汰。

部分資料模型包含預先定義的「篩選器限定」欄位，只能用於篩選器。資料模型中的篩選器限定欄位可能包含下列一或多個欄位類型：

• 個別 UDM 欄位
• 同組 UDM 欄位

部分「探索」資料模型 (例如 UDM 事件) 包含儲存時間戳記的欄位 (例如 principal.artifact.first_seen_time 和 security_result.about.file.last_modification_time) 更精細的指標。

這些指標會將時間戳記細分為更小的增量，例如小時、天、週或年。模型也會提供每個增量的最小和最大測量值。這可讓您建立更詳細的圖表，根據時間和時間增量匯總事件計數。

自訂欄位

自訂欄位是指您使用圖塊資料模型中可用的預先定義欄位建立的欄位。自訂欄位只能用於該動態磚。

您可以建立下列任一類型的自訂欄位：

• 自訂維度
• 自訂指標
• 自訂表格運算式

如要在「編輯動態磚」對話方塊中存取自訂欄位選單，請按一下「所有欄位」 >「自訂欄位」部分下方的「+ 新增」。 下圖顯示選單位置。

建立自訂維度

自訂維度是用於描述資料的獨特屬性，舉例來說，使用者姓名和姓氏的串連可能是自訂維度。

如要在圖塊中新增自訂維度，請完成下列步驟：

1. 開啟現有資訊主頁進行編輯，或建立新資訊主頁。
2. 開啟要編輯的動態磚。
3. 在「編輯圖塊」對話方塊的「自訂欄位」部分，依序點選「+ 新增」>「自訂維度」。系統會顯示「建立自訂維度」對話方塊。
4. 在「建立自訂維度」對話方塊中，執行下列操作：
   1. 在「運算式」欄位中，輸入可使用任何 Looker 函式和運算子定義值的 Looker 運算式。Looker 運算式編輯器會建議欄位名稱，並顯示所用函式的語法說明。以下是運算式範例：
      • 串連 IOC 動態饋給名稱和 IOC 值。 您只能在「IOC 比對」探索中使用這個範例。 concat( ${ioc_matches.feed_name}, " | ", ${ioc_matches.ioc_value} )
      • 傳回第一個非空白值。 順序為主機名稱，然後是 IP 位址。如果兩者都不存在，則會顯示 _。您只能在「實體圖表」探索中使用這個範例。 coalesce(${entity_graph.entity__asset__hostname}, ${entity_graph__entity__asset__ip.entity_graph__entity__asset__ip},"-")
   2. 從「格式」選單中選取格式。
   3. 在「名稱」欄位中指定自訂維度名稱。這個值會顯示在「所有欄位」分頁和「資料」表格中。
   4. 選取「+ 新增說明」，在「說明」欄位中新增說明。
   5. 按一下 [儲存]。

「所有欄位」分頁的「自訂欄位」部分會顯示該欄位。 與其他欄位一樣，您可以選取自訂維度，然後新增至動態磚或從動態磚中移除。

建立自訂指標

測量指標是維度 (或資料的獨特屬性) 的數值表示方式，例如計數或平均值。能幫助您計算主要成效指標 (KPI)，以及根據不同匯總屬性分析資料。

自訂指標可讓您為欄位定義特定數值計算。 視欄位類型而定，只有特定類型的指標可用。

如要將自訂指標新增至動態磚，請完成下列步驟：

1. 開啟現有資訊主頁進行編輯，或建立新資訊主頁。
2. 開啟要編輯的動態磚。
3. 在「編輯動態磚」對話方塊的「自訂欄位」部分，按一下「+ 新增」，然後選取「自訂指標」。系統會顯示「建立自訂指標」對話方塊。

4. 在「建立自訂指標」對話方塊中，執行下列操作：

   1. 從「要評估的欄位」選單中選取欄位。
   2. 從「評估類型」選單中選取評估類型。
   3. 在「名稱」欄位中指定名稱。這個名稱會顯示在欄位挑選器和資料表中。

   4. 在「篩選器」分頁中，執行下列操作：

      1. 如要新增篩選條件，請從「篩選器名稱」選單中選取欄位。如要新增或移除篩選條件，請分別使用 add_circle_outline 和 remove_circle_outline「篩選器值」按鈕。
      2. 選取「自訂篩選器」旁的箭頭，即可使用任何可套用至自訂篩選器的 Looker 函式和運算子，建立自訂篩選器運算式。Looker 運算式編輯器會建議欄位名稱，並顯示所用函式的語法說明。以下是運算式範例：
         • 測量 IOC 動態饋給記錄的不重複值。 您只能在「IOC 比對」探索中使用這個範例。 ${ioc_matches.feed_log_type} != ""
         • 測量 IOC 天數值區秒數：${ioc_matches.day_bucket_seconds}

   5. 在「欄位詳細資料」分頁中，執行下列操作：

      • 從「格式」選單中選取格式。
      • 您也可以在「說明」欄位中新增說明，為其他使用者提供自訂欄位的詳細資訊，但長度不可超過 255 個字元。

   6. 按一下 [儲存]。

「所有欄位」分頁的「自訂欄位」部分會顯示該欄位。 與其他欄位一樣，您可以選取要新增至動態磚的自訂欄位。

建立自訂資料表計算

您可以透過資料表計算功能建立臨時指標。這項功能類似 Google 試算表等試算表工具中的公式。

Google SecOps 可讓您在動態磚中新增自訂計算。 這些自訂資料表計算是使用 Looker 運算式建立。 您只能使用「探索」中的欄位建立表格計算。

如要建立表格計算並新增至圖塊，請完成下列步驟：

1. 開啟現有資訊主頁進行編輯，或建立新資訊主頁。
2. 開啟要編輯的動態磚。
3. 在「編輯圖塊」對話方塊的「自訂欄位」部分，依序點按「+ 新增」>「資料表計算」。系統會顯示「建立資料表計算」對話方塊。
4. 在「建立資料表計算」對話方塊中，執行下列操作：
   1. 從「計算」選單中選取「計算類型」。系統預設會顯示「自訂運算式」選項。
   2. 在欄位中輸入 Looker 運算式，定義計算方式。以下是表格計算運算式的範例：
      • 下列運算式使用 diff hours 函式，顯示兩個時間戳記之間的差異。您只能在「規則偵測」探索中使用這個範例。diff_hours( ${rule_detections.detection__detection_timestamp_date}, ${rule_detections.detection__commit_timestamp_date} )
      • 下列運算式會計算 IOC 值。您只能在「IOC Matches」探索中使用這個範例。count(${ioc_matches.ioc_value})
   3. 從「格式」選單中選取格式。
   4. 在「名稱」欄位中輸入計算名稱。
   5. 選取「+ 新增說明」，新增說明 (選填)，為其他使用者提供表格計算的更多背景資訊。
   6. 按一下 [儲存]。

「所有欄位」分頁的「自訂欄位」部分會顯示該欄位。與其他欄位一樣，您可以選取自訂計算欄位，然後新增至動態磚或從動態磚中移除。

選取視覺化圖表類型

視覺化呈現資料，協助您找出異常狀況和趨勢。 Google Security Operations SIEM 資訊主頁採用 Looker 技術，包括 Looker 視覺化效果。

您可以在 Google Security Operations SIEM 資訊主頁中使用下列視覺化類型：

• 柱狀圖選項
• 長條圖選項
• 散布圖選項
• 折線圖選項
• 面積圖選項
• 箱形圖表選項
• 瀑布圖選項
• 圓餅圖選項
• 多重圓環圖選項
• 漏斗圖選項
• 時間線圖選項
• 單一值圖表選項
• 單一記錄圖表選項
• 表格圖表選項
• 表格 (舊版) 圖表選項
• 熱門字詞集圖表選項
• Google 地圖圖表選項
• 地圖圖表選項
• 靜態地圖 (區域) 圖表選項
• 靜態地圖 (點) 圖表選項

在「編輯圖塊」對話方塊中，使用「執行」按鈕，即可使用所選欄位和視覺化類型顯示預覽畫面。調整及修改動態磚設定後，按一下「執行」即可重新整理預覽畫面。

選取要用做篩選器的欄位

篩選器可限制視覺化圖表顯示的資料，只顯示感興趣的項目。您可以使用「探索」資料模型中的欄位建立篩選器。

Google Security Operations SIEM 資訊主頁採用 Looker 技術，包括 Looker 篩選器。您可以在圖塊中建立下列類型的篩選器：

• 標準篩選器：使用預先定義或自訂的欄位建立篩選器。請使用「編輯圖塊」對話方塊的「篩選器」部分定義這些篩選器。
• 自訂篩選器搭配 Looker 運算式：指定詳細的商業邏輯、合併 AND 和 OR 邏輯，或使用 Looker 函式。在「編輯圖塊」對話方塊的「篩選器」部分，按一下「自訂運算式」按鈕。

您可以在篩選器中使用特定預先定義的欄位。只有在資料模型包含預先定義的篩選器限定欄位時，這些欄位才會顯示在「所有欄位」部分下方。

如要在圖塊中新增篩選器，請完成下列步驟：

1. 開啟現有資訊主頁進行編輯，或建立新資訊主頁。
2. 開啟要編輯的動態磚。
3. 在「所有欄位」部分下方，按一下每個欄位名稱旁邊的「依欄位篩選」filter_list，選取要用做篩選器的欄位。

4. 在「篩選器」部分，您可以採取下列任一做法：

   • 為「篩選器」部分列出的每個欄位定義篩選條件。
   • 按一下「自訂運算式」，然後在「自訂篩選器」欄位中新增值。

5. 按一下「執行」，更新圖表預覽畫面。

解決特定用途的範例

下列各節說明如何建立支援特定用途的視覺化效果。

建立顯示 IOC 類型的資訊方塊

如要在資訊主頁新增動態磚，監控 IOC 類型，請按照下列步驟操作：

1. 開啟現有資訊主頁進行編輯，或建立新資訊主頁。
2. 依序點選「新增」>「視覺化」。
3. 在「選擇探索」對話方塊中，選取「IOC Matches」。
4. 輸入動態磚名稱。
5. 選取下列「維度」：「Ioc Type」和「Event Timestamp Date」 >「Date」。
6. 選取下列指標：「計數」。
7. 在「使用中」分頁中，將指標懸停在「日期事件時間戳記日期」欄位上，然後選取「依欄位篩選」圖示 filter_list。系統會將該欄位新增至「篩選器」部分。
8. 在「篩選器」部分中，套用要使用的篩選條件。
9. 在「圖表」部分中，選取「直欄」圖示。

10. 在「資料」部分執行下列操作：

    • 按一下「IOC 比對次數」標題，即可依遞增或遞減順序排序欄位。
    • 將「資料列限制」設為 50 等值，限制視覺化圖表中顯示的資料列。

11. 設定好圖塊後，按一下「執行」，即可使用 Google SecOps 資料預覽視覺化圖表。系統會根據事件時間戳記日期比對 IOC，並顯示 IOC 類型的預覽畫面。

    下圖顯示使用這些步驟建立的圖表範例。

    

12. 按一下 [儲存]。

「資訊主頁」頁面會顯示新加入的圖塊。

使用列舉欄位建立動態磚

Google Security Operations SIEM 統一資料模型包含多個列舉欄位，值會以文字和數字形式儲存。每個列舉欄位相關聯的值，都可以在 UDM 欄位清單中找到。

在某些探索中，列舉欄位文字值和數值會儲存在不同欄位。舉例來說，如果欄位為 metadata.event_type，其中一個列舉值為 FILE_CREATION，相關數字為 14001。

在「探索」中，下列欄位會儲存 metadata.event_type 值：

• metadata.event_type 會儲存數值 14001。
• metadata.event_type_enum_name 會儲存文字值 FILE_CREATION。

將列舉欄位新增至動態磚時，請新增儲存文字值的欄位，而非數字。

如要將含有列舉欄位的圖塊新增至資訊主頁，請按照下列操作說明進行：

1. 開啟現有資訊主頁進行編輯，或建立新資訊主頁。
2. 依序點選「新增」>「視覺化」。
3. 在「選擇探索」對話方塊中，選取「UDM 事件」。
4. 輸入動態磚名稱。
5. 在「Find a Field」(尋找欄位) 中，搜尋 UDM 欄位，例如 metadata.event_type。
6. 從「維度」中，選取「metadata.event_type_enum_name」和「security_result.action_enum_name」。
7. 從「度量」中選取「計數」。
8. 在「In Use」分頁中，將指標懸停在「security_result.action_enum_name」欄位上，然後選取「Filter by field」filter_list。「篩選器」部分會顯示所選欄位的篩選器。
9. 在「篩選器」部分選取「等於」，然後選取「BLOCK」做為值。
10. 在「圖表」部分，選取「表格」圖示。

11. 在「資料」部分執行下列操作：

    • 按一下「UDM 數量」標題，即可依遞增或遞減順序排序欄位。
    • 將「資料列限制」設為某個值 (例如 50)，即可限制視覺化圖表中顯示的資料列。

12. 按一下「執行」，使用 Google SecOps 資料預覽視覺化效果。 預覽畫面會顯示 metadata.event_type 值 (依計數)，其中 security_result.action_enum 名稱為 BLOCK。

    下圖顯示使用這些步驟建立的圖表範例。

    

13. 按一下 [儲存]。

「資訊主頁」頁面隨即顯示，並列出新加入的圖塊。

在資料表中樞紐分析

您可以使用樞紐，顯示多個維度的事件計數。

下方的動態磚會顯示 metadata.event_type_enum_name 和 security_result_action_enum_name 欄位中各值的事件計數。在本例中，樞紐套用至 security_result_action_enum_name 欄位。

完成下列步驟，建立包含樞紐的資料表：

1. 開啟現有資訊主頁進行編輯，或建立新資訊主頁。
2. 依序點選「新增」>「視覺化」。
3. 在「選擇探索」對話方塊中，選取「UDM 事件」。
4. 輸入動態磚名稱。
5. 選取「維度」欄位 metadata.event_type_enum_name 和 security_result_action_enum_name。
6. 選取「測量」欄位 Count。
7. 在「篩選器」部分，建立下列篩選器：
   • UDM metadata_event_timestamp 過去 2 小時內。
   • UDM security_result.action_enum_name is not null。
8. 在「使用中」分頁下方，確認顯示下列欄位。如有遺漏，請重複先前的步驟來設定動態磚。
   • metadata.event_timestamp
   • metadata.event_type_enum_name - metadata
   • security_result_action_enum_name - security_result
   • Count
9. 在「資料」部分中，按一下「security_result.action_enum_name」欄標題中的 settings 圖示，然後選取「樞紐分析」。
10. 「資料」下方的格線會顯示新資料列。
11. 在「圖表」部分，選取「表格」圖示。
12. 按一下「執行」，即可預覽圖表。

下圖顯示「編輯圖塊」對話方塊中的這些設定選項。

資料表中的透視設定選項

使用含有日期欄位的樞紐建立時間圖表

您可以使用資料透視表和日期欄位建立時間圖表。下方的動態磚會顯示 security_result_action_enum_name 欄位值的每小時事件計數。

在本例中，樞紐套用至 security_result_action_enum_name 欄位。 篩選器會限制日期範圍，並篩除值為 null 的資料。security_result_action_enum_name 這項功能會使用預先定義的 metadata.event_timestamp Hour 日期欄位，依小時劃分資料。

如要使用資料欄位樞紐，請按照下列步驟操作：

1. 開啟現有資訊主頁進行編輯，或建立新資訊主頁。
2. 依序點選「新增」>「視覺化」。
3. 在「選擇探索」對話方塊中，選取「UDM 事件」。
4. 輸入動態磚名稱。
5. 選取「維度」欄位：metadata.event_timestamp Hour 和 security_result_action_enum_name。
6. 選取「測量」欄位：Count。
7. 在「篩選器」部分，建立下列篩選器：
   • UDM metadata_event_timestamp is in range，然後選取開始和結束日期與時間。
   • UDM security_result.action_enum_name is not null。
8. 在「使用中」分頁下方，確認顯示下列欄位。如有遺漏，請重複先前的步驟來設定動態磚。
   • metadata.event_timestamp
   • metadata.event_timestamp Hour - metadata
   • security_result_action_enum_name - security_result
   • Count
9. 在「資料」部分中，按一下「security_result.action_enum_name」欄標題中的 settings 圖示，然後選取「樞紐」。資料格中會顯示新列。
10. 在「圖表」部分，選取「表格」圖示。
11. 按一下「執行」，即可預覽圖表。

下圖顯示「編輯圖塊」對話方塊中的這些設定選項。

日期欄位中樞紐的設定選項

建立含有詳細時間戳記指標的圖表

您可以建立圖表，顯示每種記錄類型的事件計數，以及最早 (min) 和最近 (max) 的事件時間戳記。這個圖表會使用 metadata.product_name 欄位識別記錄類型。

請按照下列步驟，使用 min 或 max 時間戳記建立圖表：

1. 開啟現有資訊主頁進行編輯，或建立新資訊主頁。

2. 依序點選「新增」>「視覺化」。

3. 在「選擇探索」對話方塊中，選取「UDM 事件」。

4. 輸入動態磚名稱。

5. 選取「維度」欄位：metadata.product_name。

6. 選取「評估」欄位：Count、metadata.event_timestamp (min) Date、metadata.event_timestamp (max) Date。

7. 按一下「執行」即可預覽圖表。 預覽畫面會顯示日期格式的 metadata.event_timestamp (min) Date 和 metadata.event_timestamp (max) Date 值。

8. 按一下「儲存」。 「資訊主頁」頁面隨即顯示，並列出新加入的圖表。圖表會顯示「metadata.product_name」、「UDM」、「metadata.event_timestamp (min) Date」和「metadata.event_timestamp (max) Date」欄的值。

   還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。